Datenschutzerklärung

Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung Ihrer personenbezogenen Daten auf. Diese gilt für die Applikation ‘Why?!’ sowie die dazugehörige Webseite ‘ask-why.app’ der Looking4Cache UG (haftungsbeschränkt) (nachfolgend „wir" bzw. „unser").

Die Erhebung und Verarbeitung Ihrer personenbezogenen Daten geschieht unter Beachtung der geltenden datenschutzrechtlichen Vorschriften, insbesondere der Datenschutzgrundverordnung (nachfolgend “DSGVO”).

Zweck der Erhebung und Verarbeitung Ihrer personenbezogenen Daten ist die Bereitstellung von funktionsfähigen Diensten sowie der Kommunikation mit Ihnen.

Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne der DSGVO und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:

Looking4Cache UG (haftungsbeschränkt)
Oberer Wasen 12
74626 Bretzfeld
Deutschland
E-Mail: info@ask-why.app

Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Basierend auf Art. 13 DSGVO teilen wir Ihnen die Rechtsgrundlage unserer Datenverarbeitung mit. Insofern nicht anders angegeben erfolgt die Verarbeitung Ihrer personenbezogenen Daten aufgrund Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einholung Ihrer Einwilligung geschieht gemäß Art. 7 DSGVO.

Recht auf Bestätigung und Auskunft

Sie haben jederzeit das Recht, von uns eine Bestätigung darüber zu erhalten, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben Sie das Recht, von uns eine unentgeltliche Auskunft über die zu Ihnen gespeicherten personenbezogenen Daten nebst einer Kopie dieser Daten zu verlangen. Des Weiteren besteht ein Recht auf folgende Informationen:

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei Ihnen erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und Abs. 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie.

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so haben Sie das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Recht auf Berichtigung

Sie haben gemäß Art. 16 DSGVO das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Einschränkung der Verarbeitung

Sie haben gemäß Art. 18 DSGVO das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  1. Die Richtigkeit der personenbezogenen Daten wird von Ihnen bestritten
  2. Die Verarbeitung unrechtmäßig ist und Sie die Löschung ablehnen
  3. Wir die personenbezogenen Daten nicht länger benötigen, Sie diese jedoch zur Geltendmachung von Rechtsansprüchen benötigen
  4. Sie Widerspruch gemäß Art. 21 DSGVO eingelegt haben

Recht auf Datenübertragbarkeit

Sie haben gemäß Art. 20 DSGVO das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.

Recht auf Widerspruch

Sie haben gemäß Art. 21 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Recht auf Löschung (Recht auf Vergessenwerden)

Sie haben gemäß Art. 17 Abs. 1 DSGVO das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und wir sind verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  2. Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  3. Sie legen gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
  4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem wir unterliegen.
  6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Haben wir die personenbezogenen Daten öffentlich gemacht und sind wir gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so treffen wir unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

Automatisierte Entscheidungen einschließlich Profiling

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Eine automatisierte Entscheidungsfindung auf der Grundlage der erhobenen personenbezogenen Daten findet nicht statt.

Recht auf Wiederruf einer datenschutzrechtlichen Einwilligung

Sie haben das Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten rechtswidrig ist.

Speicherdauer

Nach Maßgabe der gesetzlichen Vorgaben löschen wir Ihre Daten. Ist dies nicht möglich, wird die Verarbeitung eingeschränkt.

Insofern es in den einzelnen Abschnitten dieser Datenschutzerklärung nicht anders angegeben wurde, löschen wir die Daten sobald diese für die Zweckbestimmung nicht mehr erforderlich ist und die Löschung durch keine gesetzlichen Aufbewahrungspflichten verhindert wird.

Verhindert eine gesetzliche Aufbewahrungspflicht (z.B. handels- und steuerrechtliche Gründe, Protokollierung der Einwilligung) die Löschung, wird die Verarbeitung der Daten eingeschränkt. Dies bedeutet, dass die Daten gesperrt werden und nicht für andere Zwecke verwendet werden.

Cookies

Wir verwenden keine Cookies. Ggf. wird ein technisch notwendiges Cookie durch den CDN Dienstleister (siehe unten) gesetzt.

Sicherheitsmaßnahmen

Gemäß Art. 32 DSGVO treffen wir Sicherheitsmaßnahmen wie die Kürzung Ihrer IP Adresse sowie die SSL-Verschlüsselung.

IP Adresse

Ihre IP Adresse wird insofern möglich immer nur in gekürzter Form gespeichert. Dadurch wird die Identifizierung Ihrer Person verhindert bzw. wesentlich erschwert. Eine Kürzung der IP Adresse geschieht nicht bei sicherheitsrelevanten Vorgängen. Dies sind insofern verfügbar fehlerhafte Anmeldeversuche, das Zurücksetzen von Passwörtern und bei der Bestätigung (Einwilligung) von E-Mail Adressen.

SSL Verschlüsselung

Unsere Dienste übermitteln Ihre Daten nur mit aktiver SSL Verschlüsselung. Dies erkennen Sie am Protokoll ‘https://’ in der Adresszeile. Wir leiten Sie automatisch auf ‘https://’ um, insofern Sie versuchen eine unverschlüsselte Verbindung zu öffnen.

Minderjährigenschutz und Parental Gateway

Why?! ist eine App, die speziell für Kinder entwickelt wurde. Der Schutz der Daten von Minderjährigen hat für uns höchste Priorität. Wir haben ein umfassendes “Parental Gateway”-System implementiert, das sicherstellt, dass die elterliche Zustimmung VOR jeglicher Datenerhebung von Kindern erfolgt.

COPPA und DSGVO-Konformität

Unser System entspricht sowohl den Anforderungen des Children’s Online Privacy Protection Act (COPPA) für die USA als auch der DSGVO Art. 8 für die EU:

  1. Verifizierte elterliche Zustimmung: Die App kann ausschließlich von volljährigen Personen registriert werden, die ihre Identität durch E-Mail-Verifikation und App-Store-Zahlungsverifikation bestätigen müssen.

  2. Keine direkte Datenerhebung von Kindern: Kinder können sich nicht selbstständig registrieren. Alle Kinder-Profile werden ausschließlich durch verifizierte Erwachsene angelegt.

  3. Datenminimierung: Von Kindern werden nur minimale Daten erhoben (Spitzname, Alter). Chat-Verläufe werden nicht auf unseren Servern gespeichert.

Zweistufiger Schutzprozess

Stufe 1 - Erwachsenen-Verifikation:

Stufe 2 - Kinder-Profil-Erstellung:

Elterliche Kontrolle

Erwachsene behalten jederzeit die volle Kontrolle:

Von uns erhobene Daten

Erwachsenen-Account und E-Mail-Adressen

Die Anmeldung an Why?! erfolgt immer über einen Erwachsenen-Account, der die Rolle des sogenannten ‘Parental Gateway’ übernimmt. Die Authentifikation für einen Erwachsenen-Account geschieht über eine E-Mail-Adresse und einen Einmal-Code. Hierzu muss mindestens eine E-Mail-Adresse für die Anmeldung hinterlegt sein. Die Daten es Erwachsenen-Accounts teilen wir nicht mit Dritten.

Optional können Sie uns das Recht einräumen, Sie per Newsletter zu kontaktieren.

Kinderprofil

Sie können einen oder mehrere Kinderprofile zu einem Erwachsenen-Account hinzufügen. Der eingegebene Namen wird nur für die Übersichtlichkeit in der Profilauswahl verwendet. Das Geburtsdatum wird nur zum Berechnen des Alters in Jahren verwendet. Die Zeitzone des verwendeten Geräts sowie das daraus resultierende Land wird ebenfalls gespeichert. Die Zeitzone ist für das Zurücksetzten der Ressourcen notwendig. Das Land insofern Web-Suchen bei Chat-Nachrichtigen durchgeführt werden.

Wenn Sie ein Kinderprofil löschen, werden die dem Kind zugeordneten Daten gelöscht. Die technischen Statistikdaten (Chat-Nutzung) bleiben erhalten, werden jedoch vollständig anonymisiert.

Die im Kinderprofil gespeicherten Daten teilen wir nicht mit Dritten, mit Ausnahme der in ‘Verarbeitung von Chat-Nachrichten’ beschriebenen Daten.

Transkription Sprachaufnahmen

Die Sprachaufnahmen werden auf unseren Servern hochgeladen und verarbeitet. Dabei wird die Audiodatei kurz gespeichert, konvertiert und an unseren Speech-to-Text-Dienstleister OpenAI übertragen. Nach der Transkription wird die Datei wieder gelöscht und der transkribierte Text zurückgegeben.

Verarbeitung von Chat-Nachrichten

Die entweder händisch eingegebenen oder über Transkription ermittelten Texte werden an unsere Server übertragen. Diese werden zusammen mit Daten aus dem Kinderprofil (Alter in Jahren, ausgeschlossene Themen und Formulierung) sowie nicht personalisierten Anweisungen an ein Large Language Model (LLM) übertragen.

Auf unseren Servern wird zum jeweiligen Kinderprofil zugeordnet der Zeitpunkt, das Thema der Frage, eine Zusammenfassung der Antwort sowie technische Statistikdaten (Token-Verbrauch, Sekunden STT und TTS) gespeichert. Diese dienen der Lernstatistik sowie der Ressourcenberechnung.

Eine Speicherung der Frage sowie der Antwort findet auf unseren Servern nicht statt. Auf den Servern unseres KI-Dienstleisters OpenAI wird die Konversation für bis zu 30 Tage gespeichert, um Rückfragen zu ermöglichen. Die für den Zugriff auf diese Daten notwendige ID wird nur lokal innerhalb der App gespeichert, nicht auf unseren Servern. Dies bedeutet, wir können die Chat-Inhalte zwischen App und KI-Dienstleister keinem Kinderprofil oder Erwachsenen-Account zuordnen.

Die Antwort wird wenn gewünscht durch einen Text-to-Speech-Dienst in eine Audiodatei gesprochen, hierbei wird lediglich der Antworttext weitergegeben. Die Antwort der LLM sowie ein Link auf die generierte Audiodatei wird zurückgegeben.

Lokale Datenspeicherung in der App

Die Chat-Verläufe werden lokal auf dem Gerät in der App gespeichert. Diese lokale Speicherung erfolgt für 30 Tage und ermöglicht es, frühere Unterhaltungen im vollen Chat-Modus wieder aufzurufen. Der Zugriff auf diese gespeicherten Chats ist nur über das jeweilige Kinderprofil innerhalb der App möglich. Nach 30 Tagen werden die lokalen Chat-Daten automatisch gelöscht. Diese Daten werden nicht mit unseren Servern synchronisiert.

Avatar-Generierung

Bei der Erstellung von Avataren wird die von Ihnen eingegebene Beschreibung zusammen mit dem Alter des Kindes (in Jahren) an unseren Bildgenerierungs-Dienstleister OpenAI (DALL-E 3) übertragen. Der generierte Avatar wird unserem globalen Avatar-Pool hinzugefügt und kann von anderen Nutzern ausgewählt werden. Die eingegebene Beschreibung wird auf unseren Servern gespeichert, um die Suche nach Avataren zu ermöglichen. Diese Beschreibung wird jedoch anderen Benutzern nicht angezeigt und dient ausschließlich internen Suchzwecken.

In-App-Käufe und Zahlungsdaten

Why?! ist eine kostenpflichtige App mit Abonnement-Modell. Die Zahlungsabwicklung erfolgt ausschließlich über die offiziellen App-Store-Zahlungssysteme:

Zahlungsanbieter:

Gespeicherte Zahlungsdaten: Wir speichern ausschließlich die von Apple bzw. Google bereitgestellten Transaktions-IDs zur Verifizierung Ihres Abonnements. Wir erhalten und speichern keine Zahlungsmittelinformationen wie Kreditkartennummern oder Bankdaten. Diese werden ausschließlich von Apple bzw. Google verarbeitet.

Subscription-Management:

Die Verarbeitung der Zahlungs-IDs erfolgt auf Basis der Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.

Logdateien Web-Server

Bei jedem Zugriff auf unseren Server wird dieser Zugriff in Logdateien protokolliert. Dies passiert immer wenn Sie unsere Dienste verwenden.

Die folgenden Informationen werden gespeichert:

Zweck der Protokollierung ist die Nachvollziehbarkeit von Fehlern und die Analyse der Stabilität des Servers. Eine Zuordnung zu Ihrer Person findet nicht statt.

Abweichende Rechtsgrundlage Rechtsgrundlage für die Protokollierung ist unser eigenes Interesse, gemäß Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer Die Protokolle werden nach 30 Tagen automatisiert gelöscht.

Internationale Datenübertragung

Bei der Nutzung von Dienstleistern mit Sitz in den USA (OpenAI, Google) erfolgt eine Übertragung personenbezogener Daten in die USA. Diese Übertragung erfolgt auf Basis von:

Wir stellen sicher, dass alle Dienstleister angemessene Garantien für den Schutz Ihrer Daten bieten.

Drittanbieter

Google Firebase

Wir nutzen Google Firebase für folgende Dienste:

Crashlytics: Zur Erfassung und Analyse von App-Abstürzen, um die Stabilität und Qualität unserer App kontinuierlich zu verbessern. Hierbei werden technische Informationen über den Absturz, das verwendete Gerät und die App-Version erfasst.

Analytics: Zur anonymisierten Analyse der App-Nutzung, um unsere Dienste zu verbessern. Die Erfassung erfolgt ohne Zuordnung zu einem spezifischen Benutzer oder Benutzerprofil.

Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses zur Verbesserung und Optimierung unserer App gemäß Art. 6 Abs. 1 lit. f DSGVO.

Die Datenschutzerklärung von Google Firebase kann hier eingesehen werden: https://firebase.google.com/support/privacy

OpenAI

Wir nutzen die Dienste von OpenAI für:

Large Language Model (LLM): Zur Verarbeitung und Beantwortung der Kinderfragen. Die Konversationen werden auf OpenAI-Servern für bis zu 30 Tage gespeichert, um Rückfragen innerhalb einer Sitzung zu ermöglichen.

Bildgenerierung / Avatare: Zum Generieren neuer Avatare verwenden wir OpenAI Dienste.

Bei der Übertragung an OpenAI werden keine personenbezogenen Daten wie Namen oder E-Mail-Adressen weitergegeben. Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses zur Bereitstellung der App-Funktionalitäten gemäß Art. 6 Abs. 1 lit. f DSGVO.

Die Datenschutzerklärung von OpenAI kann hier eingesehen werden: https://openai.com/policies/privacy-policy

Google Cloud

Wir nutzen Google Cloud Text-to-Speech (TTS) zur Umwandlung von Textantworten in Sprache. Dabei wird der zu sprechende Text an Google Cloud übertragen und als Audiodatei zurückgeliefert. Es werden keine personenbezogenen Daten wie Namen oder E-Mail-Adressen übertragen.

Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses zur Bereitstellung der Vorlesefunktion gemäß Art. 6 Abs. 1 lit. f DSGVO.

Die Datenschutzerklärung von Google Cloud kann hier eingesehen werden: https://cloud.google.com/security/privacy

Cloudflare

Wir nutzen Cloudflare als Content Delivery Network (CDN) und zum Schutz vor Angriffen wie DDoS-Attacken und Spam. Ein CDN speichert die statischen Webseiteninhalte auf weltweit verteilten Servern, damit diese schneller ausgeliefert werden können und weniger Anfragen auf unserem Server ankommen.

Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses zur Gewährleistung der Sicherheit und Performance unserer Dienste gemäß Art. 6 Abs. 1 lit. f DSGVO.

Die Datenschutzerklärung von Cloudflare kann hier eingesehen werden: https://www.cloudflare.com/privacypolicy/

Hosting-Dienstleister

Wir nutzen für den Betrieb unserer Server und Infrastruktur folgende Hosting-Anbieter:

Hetzner Online GmbH
Unsere Hauptserver werden bei Hetzner in Deutschland gehostet. Dies gewährleistet, dass Ihre Daten in deutschen Rechenzentren verarbeitet werden und dem strengen deutschen Datenschutzrecht unterliegen.

Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses am zuverlässigen und sicheren Betrieb unserer Dienste gemäß Art. 6 Abs. 1 lit. f DSGVO.

Datenschutzerklärung von Hetzner: https://www.hetzner.com/de/legal/privacy-policy

Hostkey B.V.
Für zusätzliche Infrastruktur-Komponenten nutzen wir Server von Hostkey.

Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses am zuverlässigen und sicheren Betrieb unserer Dienste gemäß Art. 6 Abs. 1 lit. f DSGVO.

Datenschutzerklärung von Hostkey: https://www.hostkey.com/legal/privacy-policy

Auftragsverarbeitung

Mit allen genannten Dienstleistern haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen bzw. diese sind automatisch Teil der Nutzungsbedingungen:

Diese Vereinbarungen stellen sicher, dass Ihre Daten nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet werden.